网络架构

在大型企业网络架构中，有非常多的产品：交换机、路由器、防火墙、IDS、IPS、服务器等设备。

先来看看一个典型的企业网络拓朴图（图中防火墙和IPS需更换位置）：
在这里插入图片描述 网络拓朴简析：

出口路由器由两个不同的运营商提供，提供对公网路由；
在网络出口处，还有IPS入侵防御系统，实时检测是否有异常攻击行为，并及时阻断；
边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换；
防火墙、IPS 和边界路由器都有两个，实现负载均衡和热备份，即使任何一个宕机了，都不会影响企业网络的正常运作；
对内服务器有一个IDS入侵检测系统，检测对内服务器的安全；
对外服务器有一个 WAF和IDS ，用来检测外网用户对对外服务器的访问。

产品划分

防火墙	IDS	IPS
防御系统，属于访问控制类产品	入侵检测系统，属于审计类产品；并联接入	入侵防御系统，属于访问控制类产品；串联接入
基于IP地址和端口来执行访问控制的	只做攻击的检测工作，本身并不做防护，需要和防攻击设备IPS共用	基于入侵检测来执行访问控制的，不光对已知的攻击种类能防御，还能检测些异常协议的攻击

简析下以上安全产品的关系：

串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力；
旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断；
IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（即一个会话就可以达成攻击效果，例如SQL注入、溢出攻击等），这使得IDS与防火墙联动在实际应用中的效果不显著。

这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。

架构分层

大型企业网络架构有三层：接入层、汇聚层、核心层。

接入层接入不同的部门，不同的部门属于不同的VLAN，保证了不同部门之间的安全；
核心层有两个核心交换机，实现负载均衡和热备份，即使有一个核心交换机宕机了，网络也不会瘫痪。

区域划分

大型企业网络区域有三块：DMZ区、办公区、核心区。

DMZ区

DMZ(Demilitarized Zone)非军事化区，也就是隔离区，DMZ区是一个对外服务区，在DMZ区域中存放着一些公共服务器，比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务，理论上都可以放到DMZ区。内网可以单向访问DMZ区、外网也可以单向访问DMZ区，DMZ访问内网有限制策略，这样就实现了内外网分离。DMZ可以理解为一个不同于外网或内网的特殊网络区域，即使黑客攻陷了DMZ区，黑客也不能访问内网区域。

办公区

办公区就是企业员工日常办公的区域，办公区安全防护水平通常不高，基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中，攻击者在获取办公区的权限后，会利用域信任关系来扩大攻击面。在一般情况下，攻击者很少能直接到达办公区，攻击者进入办公区的手段通常为鱼叉攻击、水坑攻击和其他社会工程学手段。办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

核心区

核心区内一般存放着企业最重要的数据、文档等资产。例如，域控、核心生产服务器等，安全设置也最为严格。根据业务的不同，相关服务器可能存放于不同的网段中。核心区按照系统可分为业务系统、运维监控系统、安全系统等，按照网段可分为业务网段、运维监控网段、安全管理网段。

【总结】企业网络的访问控制策略如下：

访问控制策略	详情
内网可以访问外网	内网的用户显然需要自由地访问外网，出口路由器需要进行源地址NAT转换
内网可以访问DMZ	此策略是为了方便内网用户使用和管理DMZ中的服务器
外网不能访问内网	内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问
外网可以访问DMZ	DMZ中的服务器本身就是要给外界提供服务的，外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换
DMZ访问内网有限制	避免则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据
DMZ不能访问外网	此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网。

堡垒机

诞生意义

信息系统运维人员掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此，加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下，针对运维操作管理与审计的堡垒机应运而生。
在这里插入图片描述
堡垒机无非就是一台功能受限的主机，加上运维审计功能，它与常见的运维审计平台有什么区别？

堡垒机提供了一套多维度的运维操作控管控与审计解决方案，使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。

演变分类

基于其应用场景，堡垒机可分为两种类型：

1、网关型堡垒机

网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部提供服务而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能，将内外网从网络层隔离开来，因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

2、运维审计型堡垒机

审计型堡垒机，有时也被称作“内控堡垒机”，这种类型的堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机的原理与网关型堡垒机类似，但其部署位置与应用场景不同且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。

工作原理

作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的权限控制与操作行为审计。

1、主要技术思路

如何实现对运维人员的权限控制与审计呢？堡垒机必须能够截获运维人员的操作，并能够分析出其操作的内容。堡垒机的部署方式，确保它能够截获运维人员的所有操作行为，分析出其中的操作内容以实现权限控制和行为审计的目的，同时堡垒机还采用了应用代理的技术。运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server)，其工作流程如下图所示：
在这里插入图片描述

运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求;
该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。

通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

2、堡垒机三权分立

在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。
在这里插入图片描述

管理员：管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后，在堡垒机内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
运维人员：运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接目标设备完成相应操作，并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”，然后此次操作过程被记录到审计日志数据库中。
审计员：最后当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查询，然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

“应用代理”组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

谈前置机

有些企业的网络拓朴会存在前置机，如下图：
在这里插入图片描述
前置机这个概念一般在银行、券商、电信运营商那里用的比较多。这些地方都有很多后台核心处理系统，对外提供各种接口服务。如果我有某种业务接口需要跟他们的后台系统打交道，要从我们的外部网络访问他们的后台系统，这些单位是绝对不允许的。这个时候，他们要求你或者他们自己开发一个软件，运行在他们的内网，然后通过专线或硬件隔离技术将运行这个软件的计算机连接到你的外网系统上，那么运行这个软件的计算机，从功能上称呼为前置机。

前置机作用：

从网络和安全角度来看，它有隔离主机的作用（一种放在内网以外，分离内网外网的应用）保证外部的应用不能直接访问核心服务，比如银行的各类外部接口（电信代收费、银证通）；
从业务角度来看，前置机提供了业务渠道与核心服务的主机交流的一个桥梁。它一般起着管理和调度业务渠道发起的交易的作用，经过前置机的调用可以减轻核心后台服务器的负担，当然了它也有非核心业务的处理功能。

C/S概念中C和S是相对而言的,虽然多数是固定的，但是也是视指定而言。譬如银行的业务应用中，请求的发出就不可以是从后端应用服务器而来。以代理收费的例子来看，前置机就是一个应用网关。实际上在现在的应用中，由于有了前置机的存在，主机变得不可见。政务内外网两端的业务系统需要数据交换，在各自业务系统前布置前置机，实现数据交换。

入侵检测

IDS（intrusion detection system）入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

专业上讲IDS就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求就是：IDS应当挂接在所有所关注流量都必须流经的链路上。

IDS的接入方式：并行接入(并联)。IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源。这些位置通常是：

服务器区域的交换机上；
边界路由器的相邻交换机上；
重点保护网段的局域网交换机上。

入侵检测系统功能

监测并分析用户和系统的活动；
核查系统配置和漏洞；
对操作系统进行日志管理，并识别违反安全策略的用户活动；
针对已发现的攻击行为作出适当的反应，如告警、中止进程等。

IDS的组成

在这里插入图片描述

组成结构	作用
事件产生器	从整个计算环境中获得事件，并向系统的其他部分提供此事件
事件分析器	分析数据，发现危险、异常事件，通知响应单元
响应单元	对分析结果作出反应
事件数据库	存放各种中间和最终数据

IDS的流程

在这里插入图片描述

IDS的分类

入侵检测系统的分类

分类标准	具体包含
按入侵检测形态	硬件入侵检测；软件入侵检测
按目标系统的类型	网络入侵检测；主机入侵检测
按入侵检测技术分类	误用检测技术；异常检测技术

入侵检测技术的分类

	误用检测技术	异常检测技术
特点	建立入侵行为模型(攻击特征)；假设可以识别和表示所有可能的特征；基于系统和基于用户的误用	设定“正常”的行为模式；假设所有的入侵行为是异常的；基于系统和基于用户的异常
优点	准确率高；算法简单	可检测未知攻击；自适应、自学习能力
关键	要识别所有的攻击特征，就要建立完备的特征库；特征库要不断更新；无法检测新的入侵	正常”行为特征的选择；统计算法、统计点的选择

IDS的两种部署方式

1、基于网络的IDS
在这里插入图片描述 2、基于主机的IDS
入侵检测系统的局限性

对用户知识要求较高，配置、操作和管理使用较为复杂；
网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
高虚警率，用户处理的负担重；
由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果；
在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响。

入侵防御

IPS(Intrusion Prevention System)：入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等)，如果一旦发现隐藏于其中的网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括(按照处理力度)向管理中心告警、丢弃该报文、切断此次应用会话、切断此次TCP连接。

进行了以上分析以后，我们可以得出结论：在办公网中至少需要在以下区域部署IPS：即办公网与外部网络的连接部位(入口/出口)、重要服务器集群前端、办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。目前，下一代防火墙也集成了IPS的功能。但是IPS仍然是不可代替的。
在这里插入图片描述